Nieuws

Beveiligingsexpert hekelt analyse WhatsApp-encryptie

vrijdag 1 mei 2015, 11:10 door Redactie, 4 reacties

Het Duitse computerblad c't publiceerde gisteren een analyse waarin het stelt dat de end-to-end-encryptie van WhatsApp weinig nut heeft, tot grote ergernis van beveiligingsexpert Moxie Marlinspike die de encryptie ontwikkelde en juist stelt dat de uitrol volgens plan verloopt. Vorig jaar lieten WhatsApp en Open Whisper Systems, het bedrijf van Marlinspike, weten dat WhatsApp de end-to-end-encryptie van TextSecure ging gebruiken.

TextSecure is een door Open Whisper Systems ontwikkelde chat-app die gebruikers volledig versleuteld met elkaar laat communiceren, waarbij de inhoud alleen voor de afzender en ontvanger te bekijken is. Onderzoekers van het Duitse Heise analyseerden voor c't de gebruikte encryptie en haalden hard uit. "De resultaten laten zien dat WhatsApp de voorbeeldige encryptie van TextSecure, zoals ontwikkeld door Moxie Marlinspike, dan mag gebruiken, maar het op zo'n manier implementeert dat het weinig nut heeft in de echte wereld."

Voor het onderzoek probeerden de onderzoekers een Man-in-the-Middle-aanval uit te voeren. De communicatie tussen twee Androidtoestellen was via het Textsecure-protocol end-to-end versleuteld, maar dit bleek niet het geval te zijn bij de communicatie tussen iOS-apparaten. De onderzoekers hekelen daarnaast ook dat het onduidelijk is of end-to-end-encryptie in alle gevallen wordt gebruikt waar dit mogelijk is, of staat uitgeschakeld als er aan bepaalde criteria wordt voldaan, zoals verzoeken van inlichtingendiensten of als het apparaat in een bepaald land wordt gebruikt.

Reactie

Marlinspike is op zijn beurt weer niet over het artikel van het Duitse computerblad te spreken. Op Reddit reageert hij fel. Volgens de beveiligingsexpert verloopt de uitrol van end-to-end-encryptie precies zoals vorig jaar al werd aangekondigd. "We kondigden een samenwerking aan, geen afgeronde uitrol." De blogposting over de samenwerking bevat volgens Marlinspike dan ook precies de "ontdekking" van Heise en c't. "Zoals ik in de blogpost aangaf wordt de uitrol onder honderden miljoenen gebruikers en allerlei platformen stapsgewijs gedaan."

Ook zouden c't en Heise met dit soort artikelen partijen als WhatsApp juist ontmoedigen om aan dit soort encryptieprojecten te beginnen, aangezien dit soort negatieve stukken het gevolg zijn. De uitrol gebeurt volgens Marlinspike dan ook zo snel als technisch mogelijk is, zonder de dienstverlening aan honderden miljoenen gebruikers te verstoren. "Niets dat jullie schrijven kan het sneller laten verlopen, en is op z'n hoogst alleen een afleiding."

Helft online Nederlanders werkt met Windows 7

Mozilla gaat werking onveilige HTTP-sites beperken

Reacties (4)

01-05-2015, 12:12 door johanw

Marlinspike kan sowieso nogal slecht tegen kritiek, dat merk je ook aan reacties op het TextSecure forum en Github. Nou heeft hij daar dan ook een hoop van gekregen sinds hij besloot om SMS encryptie uit TextSecure te slopen maar dat had hij natuurlijk van te voren kunnen voorspellen.

01-05-2015, 12:28 door Anoniem

Deze zin (uitgesproken) heeft de potentie van een tech cult klassieker in zich.

Echoing Hallo! Dies ist ein Test von einem Android-Handy.

01-05-2015, 12:40 door Anoniem

Nou heb ik wel geen verstand van encryptie maar het artikel heeft toch een redelijke en heldere conclusie waar WhatsApp wat mee kan doen?

This seems to be the core problem with WhatsApp's end-to-end encryption: You never really know if it is actually being used. Neither when sending nor when receiving messages with the official WhatsApp client is there any indication if E2E encryption is in place.
…
Even heavier weighs the fact that, as far as we know, WhatsApp has never committed to guarantee its users E2E encryption. E2E encryption with WhatsApp therefore remains a token effort.

- Functionaliteit inbouwen zodat voor de gebruiker duidelijk is wanneer encryptie toegepast wordt.
- Zich uitspreken op het vlak van garantie op het toepassen van encryptie wat weer wat anders is dan de garantie afgeven dat je encryptie niet gekraakt kan worden.
- Garantie afgeven dat er geen achterdeuren zijn ingebouwd of dat er expres zwakke encryptie wordt gebruikt.

Doet WhatsApp dat niet, mag het waken voor de titel WhatsCrapp.
Al zal dat verreweg de meeste gebruikers ervan geen ene moer interesseren (huh privacy?).
Als het maar gratis blijft.

01-05-2015, 13:31 door Erik van Straten

Als ik TextSecure met WhatsApp vergelijk in https://www.eff.org/secure-messaging-scorecard, dan heeft WhatsApp nog een weg te gaan. Sowieso is encryptie flauwekul als je niet weet met wie je communiceert (derde kolom).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer